El cliente de correo electrónico Mozilla Thunderbird almacenó las claves OpenPGP en texto claro

Mozilla Thunderbird and OpenPGP

El investigador encontró que durante varios meses Mozilla Thunderbird salvó a algunos usuarios’ Claves OpenPGP en formato de texto plano.

Por ejemplo, Usuarios de Thunderbird recientemente comprendió que cuando abren un programa, pueden ver correos electrónicos cifrados por OpenPGP sin ingresar sus contraseñas maestras. Estos mensajes en Thunderbird solo deberían poder verse después de la autenticación..

La vulnerabilidad ha sido identificada como CVE-2021-29956 y tiene un nivel de gravedad bajo. El error afectó al cliente de correo de todas las versiones entre 78.8.1 y 78.10.1. Permitió a un atacante local ver claves OpenPGP importadas almacenadas en los usuarios’ dispositivos sin cifrado. De este modo, un atacante podría ver y copiar las claves de otra persona y luego hacerse pasar por el remitente de los correos electrónicos protegidos.

El mantenedor de Thunderbird, Kai Engert, admite que este fue su error personal debido a la falta de pruebas.. El caso es que hace unos meses, Los procesos clave fueron reescritos para mejorar su seguridad..

Previamente, el proceso para manejar claves OpenPGP recién importadas en Thunderbird se veía así:

  • importación de la clave secreta en un área de memoria temporal;
  • desbloquear la llave usando la contraseña ingresada por el usuario;
  • copiar la clave al almacenamiento permanente;
  • protección de la clave mediante la contraseña automática OpenPGP en Thunderbird;
  • guardar una nueva lista de claves secretas en el disco.

Pero, según Engert, después de realizar cambios en el código, sucedió lo siguiente (pasos 3 y 4 fueron revertidos):

  • importación de la clave secreta en un área de memoria temporal;
  • desbloquear la llave usando la contraseña ingresada por el usuario;
  • protección de la clave mediante la contraseña automática OpenPGP en Thunderbird;
  • copiar la clave al almacenamiento permanente;
  • guardar una nueva lista de claves secretas en el disco.
El autor del código. (eso es, me) y el revisor sugirió que esto sería equivalente a [la versión anterior]. Pero nuestra suposición de que la protección de la clave privada en el paso 3 se conservará cuando se copie a otra área … resultó ser falso.dice Engert.

De hecho, cuando la clave se copió en un almacenamiento persistente, la protección no se copió junto con ella debido a un error en el biblioteca RNP que Thunderbird y Mozilla Firefox utilizan para proteger las claves OpenPGP.

En versión Thunderbird 78.10.2, el error ha sido solucionado, y ahora el cliente de correo buscará claves desprotegidas en secring.gpg. Si se encuentran tales claves, Se convertirán en protegidos..

Déjame recordarte que yo también escribí eso. Los piratas informáticos utilizaron la extensión de Firefox para piratear Gmail.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *